Simple and secure by Design but Business compliant [Benoît SAUTIERE / MVP]

Simple, yes, Secure Maybe, by design for sure, Business compliant always

Common Tasks

Recent Posts

Tags

Community

Email Notifications

Blogs

Archives

juin 2010 - Posts

DirectAccess et les GPO

Dès lors que le poste de travail a accès au contrôleur de domaine, il a aussi accès aux stratégies de groupe. Les stratégies de groupes permettent de différencier les systèmes et ou les utilisateurs en fonction de plusieurs critères:

  • Emplacement dans l’annuaire Active Directory
  • Appartenance à un groupe
  • Résultat positif d’une requête WMI
  • Association à un site Active Directory

 

Autant pour les trois premiers, c’est facile à mettre en œuvre, autant pour le dernier cela pose pas mal de questions. Le fait qu’un système soit associé à un site Active Directory dépend du sous-réseau sur lequel il se trouve. Or, notre poste se trouve sur Internet lorsqu’il est en situation de mobilité. On ne vas quand même pas déclarer les sous-réseaux Internet dans notre console de site Active Directory quand même?

 

Quelques rappels

Lorsque le client Windows 7 se trouve en situation de mobilité, il fait appel aux protocole de transition vers IPV6 pour mettre en place les tunnels IPSEC. On dénombre trois :

  • 6to4
  • Teredo
  • IP-HTTPS

 

Pour faire court, 6to4 est utilisé par le client lorsque celui-ci se trouve directement connecté à Internet, disposant d’une adresse IPV4 publique. Teredo lui est utilisé par le système lorsqu’il dispose d’un accès Internet au travers de la translation d’adresse (NAT), donc d’une adresse IPV4 privée (voir RFC 1918). Enfin le dernier protocole est utilisé en dernier recours (ou si le mode Force Tunneling a été activé).

 

On sait maintenant qu’il faudra référencer trois sous-réseaux IPV6 dans la console de Site pour notre site “Clients DirectAccess externes”, il nous manque plus qu’à interpréter ces adresses. Le tableau ci-dessous va nous donner quelques pistes (Merci à Thomas Shinder).

IPV6Adressing

 

Dans le cadre de cette démonstration, ma plateforme DirectAccess est composée d’un unique serveur UAG illustrée ci-dessous :

Maquette

Donc mes adresses IPV4 publiques consécutives sont :

  • 131.107.0.2
  • 131.107.0.3

 

C’est très important. Pour la suite, reste plus qu’à se munir d’une calculatrice pour les conversions en Hexadécimal.

 

6to4

Pour l’interface 6to4, on comprend que l’adresse est générée en utilisant le formalisme suivant :

6to4 

Pour plus de précision, l’adresse IPV4 hexadécimale représente l’adresse IPV4 publique de notre routeur 6to4 qui est en fait notre serveur DirectAccess / UAG.

 

Teredo

Pour l’interface Teredo, l’adresse est générée selon le formalisme suivant :

Teredo

Ici encore, on retrouve l’adresse IPV4 publique de notre serveur Teredo qui n’est rien d’autre que notre serveur DirectAccess /UAG.

 

IP-HTTPS

Pour l’interface IP-HTTPS, c’est un peu plus complexe. Pour faire simple, il faut retenir que l’adresse sera générée selon le formalisme 6to4 :

IPHTTPS

 

Implémentation

l’implémentation se passera dans la console de “Active Directory Sites and Services”.

SITES AD 

On va commencer par s’assurer s’associer un sous-réseau IPV4 au sous-réseau “Default-First-Site-Name”. Cela nous permettra de bien identifier les clients sur le réseau LAN. Dans l’idéal, on dispose de réseaux dédiés pour les clients, ma maquette n’est pas représentative des bonnes pratiques.

 

Je continue par la création du site Active Directory “DirectAccess-Site” auquel, j’ai associé trois sous réseaux IPV6 puisqu’il y a trois protocoles de transition. Pour 6to4, je savais que mon adresse commence par “2002” auquel on associe l’adresse IPV4 du routeur 6to4 (première adresse IPV4 de notre serveur UAG), ce qui donne “2002:836b:64::/48”.

 

Pour Teredo, je savais que mon adresse commence par “2001”, toujours selon le même principe. Idem pour IPHTTPS puisque l’adresse IPV6 est générée sur la base d’une adresse Teredo, au moins pour la partie publique.

 

Note : Pour l’explication des masques réseaux IPV6, je vous renvoie vers l’excellentissime ouvrage de référence sur le sujet.

IPV6BOOK 

Client sur le LAN

Sur le LAN, notre client doit être en mode “dual stack”, donc avec une adresse IPV4 et une adresse IPV6 de type ISATAP tel qu’illustré ci-dessous :

IPCONFIG_LAN

Le “GPRESULT” doit donc indiquer qu’il dépend du site par défaut tel qu’illustré ci-dessous :

GPRESULT_LAN

Client sur Internet

Pour le client sur Internet, on a trois interfaces possibles (6to4, Teredo et IP-HTTPS). Pour le premier d’entre eux, on doit constater un IPCONFIG tel qu’illustré ci-dessous :

IPCONFIG_6to4

On constate bien la présence de l’interface IPV4 classique. L’interface ISATAP est désactivée car on se trouve sur Internet. Les interfaces 6to4 et Teredo sont elles actives. Dans le cas présent, ma connectivité Internet étant publique, je communique en 6to4. Si je désactive l’interface 6to4 avec la commande “NETSH INTERFACE 6TO4 SET STATE DISABLE”, le résultat de la commande IPCONFIG sera le suivant :

IPCONFIG_Teredo

En temps normal, ma maquette aurait du disposer d’un réseau de type Home avec du NAT mais par manque de temps, j’ai du utiliser ce subterfuge. Mon client utilise maintenant l’interface Teredo. Si maintenant je désactive l’interface Teredo avec la commande “NETSH INTERFACE TEREDO SET STATE DISABLE”, mon client n’a plus d’autre choix que d’utiliser l’interface IP-HTTPS, ce que l’on peut constater ci-dessous :

IPCONFIG_IPHTTPS

Il n’y a plus d’autre choix que ce protocole. Dans tous ces cas, le résultat de la commande GPRESULT est strictement identique :

GPRESULT_DirectAccess

Si le sous-réseau dont mon poste dépend n’est pas reconnu, le client est automatiquement associé au premier site Active Directory. Or, on constate bien qu’il est associé au site Active Directory dédié aux clients DirectAccess en situation de mobilité.

 

Conclusion

Cette subtilité autour des stratégies de groupe et d’IPV6 permet de différencier les stratégies de groupe qui sont appliquées lorsque les postes sont en situation de mobilité. On peut donc envisager des scénarios autour du renforcement de la sécurité du poste de travail. Par exemple, n’exiger l’authentification de la carte à puce que pour les accès réalisés en DirectAccess.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Group Policy Search

Voila une application Azure intéressante : Group Policy Search. Elle permet d’avoir une vue d’ensemble de ce qu’il est possible de faire avec les stratégies de groupe. l’application permet de filtrer selon :

  • le système d’exploitation
  • le type de paramètre
  • La version d’Internet Explorer

 

Le plus intéressant, c’est que l’application autorise aussi la recherche inversée, à savoir partir d’une clé de registre pour retrouver le paramètre de stratégie de groupe. C’est donc bien plus efficace que le fichier Excel dont on disposait jusqu’à maintenant.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Posted: 06-26-2010 9:30 by Benoît SAUTIERE | with no comments
Filed under:
ADMT Guide

Après la mise à disposition de la version 3.2 d’ADMT, il ne manquait plus que la documentation associée. Celle-ci est maintenant disponible à cette adresse.

 

Une saine lecture pour toute personne qui envisage un projet de migration Active Directory. A noter que le passage à la version 3.2 d’ADMT introduit une nouvelle limitation, à savoir que les domaines sources et cibles doivent impérativement fonctionner sous le mode Windows 2003, ce qui exclus Windows 2000 comme source de migration.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Posted: 06-26-2010 1:23 by Benoît SAUTIERE | with no comments
Filed under: ,
ADMT 3.2 enfin disponible

Il aura mis le temps à sortir de sa phase beta mais il est enfin disponible à cette adresse. Pour ceux qui ont réalisé des migrations avec ADMT 3.1, il ont certainement du faire face à la KB976659 ou même à la KB974625 (juste pour le fun!).

 

A noter qu’il n’y a pas de nouvelle version concernant l’agent Password Export Server.

 

Attention cependant à deux subtilités : 

- Pas de prise en charge de Windows 2000 comme domaine source, ce qui peut rendre la trajectoire de migration nettement plus complexe.

- ADMT 3.2 n'est disponible que pour les plateformes X64

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Quelques KB sur DirectAccess

DirectAccess est une nouvelle fonctionnalité, pour laquelle on voit arriver les premiers retours. De mon point de vue, s’il y a des KB publiées chez Microsoft, c’est que des clients sont tombés sur les problèmes lors des phases d’étude ou mise en production. DirectAccess doit donc intéresser beaucoup les entreprises au vue des retours.

 

Ce billet a donc pour objectif de résumer les KB les plus intéressantes à connaitre avant de se lancer dans le grand bain de DirectAccess :

  • KB979373 (The DirectAccess connection is lost on a computer that is running Windows 7 or Windows Server 2008 R2 that has an IPv6 address). Le cas est vicieux. Pour l’instant, il ne devrait pas impacter beaucoup de personnes, à moins que celles-ci ne disposent d’une connexion Internet IPV6 native.
  • KB978738 (You cannot use DirectAccess to connect to a corporate network from a computer that is running Windows 7 or Windows Server 2008 R2). Le cas est lui aussi vicieux car ne concerne pas toutes les ressources.
  • KB978837 (The Group Policy Management Editor window crashes when you apply some changes for NRPT policy settings). Une KB obligatoire à mon avis.
  • KB972516 (A DirectAccess access failure occurs after the DNS servers that are running Windows Server 2008 return empty responses for AAAA queries in a WINS zone). Coriace le WINS, il ne veut pas mourir le bourge.
  • KB974080 (DirectAccess Workaround for reaching IPv4 address checking sites). Si un site web demande notre adresse IP, il risque d’être surpris
  • KB973982 (The certificate for IP-HTTPS does not rebind if the certificate is changed after the configuration is applied one time in Windows Server 2008 R2). Celui-la ne m’a pas fait rire du tout.
  • KB968920 (Windows Vista and Windows Server 2008 DNS clients do not honor DNS round robin by default). Attention au Round and Robbin sous Windows 7, il va surprendre.
  • KB958194 (The DNS server does not listen on the ISATAP interface on a Windows Server 2008-based computer). Normalement ne devrait plus arriver sauf si on oublie de mettre à jour ses serveurs.
  • KB977342 (ISATAP and 6to4 tunneled addresses cannot be used by the NLB feature on a computer that is running Windows Server 2008 R2), juste pour que le NLB UAG/DirectAccess fonctionne avec son interface 6to4.
  • KB978309 (IPv6 transition technologies, such as ISATAP, 6to4 and Teredo do not work on a computer that is running Windows Server 2008 R2 Server Core), Windows 2008 R2 Core est il tellement si léger que Microsoft aurait oublié de conserver IPV6? Nan, …
  • KBAlex117 (The adapter configured as external-facing is connected to a domain). Merci Alex pour la solution, maintenant, il manque plus que la KB Microsoft.
  • KB980674 (Elle concerne TMG en NLB mais par extension, elle concerne aussi UAG)
  • KB2288297 Pour adresser la problématique de la demande d’authentification sur WebDav/SharePoint.

 

Voila pour les KB les plus importantes. Dès que j’aurai un peu de temps, le billet sera actualisé avec les KB spécifiques à UAG

 

BenoîtS – Simple and Secure by Design (J’insiste sur le Secure)

Baisse des performances des hôtes Hyper-V R2

Suite à un appel à contribution de Ben Armstrong (Aka Virtual PC Guy), Virtualization Program Manager chez Microsoft, un certain nombre de clients ont fait remonté une problématique commune autour de la sauvegarde des machines virtuelles Hyper-V.

 

Après investigations, il est apparu que tous ces clients partageaient une problématique commune, plus précisément au niveau du module Volume Shadow Copy Service (VSS), avec pour conséquence une baisse significative des performances du serveur hôte.

 

Il est vivement conseillé de lire le billet à ce sujet ainsi que ka KB982210 qui en découle.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Actualisation des limites de support Hyper-V R2

La page décrivant les limites concernant le support d’Hyper-V a été actualisée ces jours-ci. Désormais, Microsoft supporte jusqu’à 384 machines virtuelles par hôtes : http://technet.microsoft.com/en-us/library/ee405267(WS.10).aspx.

 

Toujours bon a conserver dans un coin.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Et une nouvelle XBOX 360

Chaque année, Microsoft dévoile ses nouveautés à l’E3. L’année dernière, c’était le projet Natal. Maintenant, c’est une nouvelle version de la XBOX 360 avec enfin le wifi intégré et un véritable disque dur.

XBOX

Prochaine étape : Kinect.

 

Désolé, …

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Posted: 06-15-2010 0:01 by Benoît SAUTIERE | with no comments
Filed under: ,
UAG DirectAccess : The adapter configured as external-facing is connected to a domain

Mon collègue Alexandre GIRAUD avait déjà consacré un billet sur le sujet alors que nous étions sur un POC UAG/DirectAccess chez un client.  Pour rappel, voila ce qu’on avait lors qu’on tentait d’activer une configuration DirectAccess UAG :

External 

La solution d’Alexandre bien que temporaire avait l’avantage qu’elle fonctionne. Coté Microsoft, le sujet avance puisque Tom SHINDER (The Edge man) a consacré un premier billet sur ce sujet. A première vue, c’est bien un sujet lié à UAG et non propre à DirectAccess. Son contournement ne résoudra pas totalement le problème mais au moins permettre de finaliser l’activation d’UAG. Tom travaille au niveau du Network Location Awareness de Windows.

 

Benoîts – Simple and Secure by design (J’insiste sur le Secure)

Proof of Concept Jumpstart Kit v1.1

Mon collègue PatrickL, m’a informé de la disponibilité d’un package complet pour organiser des Poc sur Windows 7 : le POC Jumpstart Kit. Tout y est :

  • Microsoft Assessment and Planning Toolkit (MAP)
  • Microsoft Application Compatibility Toolkit (ACT)
  • Microsoft Office Migration and Planning Manager (OMPM) (Important de creuser la compatibilité des macros, …)
  • Microsoft Deployment Toolkit
  • Windows 7 Enterprise 90-day Trial image
  • Microsoft Office Professional Plus 2010
  • Office 2010 with Application Virtualization (App-V)

 

Bref, le package que tout consultant arrivant sur une mission autour de Windows 7 devrait avoir.

 

Benoîts – Simple and Secure by Design (j’insiste sur le Secure)

Business Ready Security (BRS)

Le meilleur moyen de tester les produits Microsoft, c’est en premier lieu de les mettre en situation. Problème, surtout avec les produits de sécurité, c’est qu’il faut monter un environnement complet. C’est super long à monter.

 

Microsoft met à disposition un environnement comprenant tous les produits de sécurité de l’éditeur (FIM, FCS, PFE, ADFS, RMS, TMG, UAG, DirectAccess), le tout avec un environnement aussi représentatif que possible. Il faut juste un peu plus de 13Go de mémoire vive pour héberger le tout. C’est le Business Ready Security.

 

image

Avec un environnement aussi riche, on peut tester :

  • la publication d’Exchange au travers d’UAG
  • Le contrôle de la confidentialité des mails
  • La protection antispam d’Exchange
  • L’intégration d’Oulook avec AD RMS
  • L’interconnexion avec des partenaires avec ADFS et RMS
  • La sécurisation des flux réseaux avec TMG
  • DirectAccess (une version très allégée)
  • La protection d’Exchange 2010 avec AD RMS
  • La protection de Sharepoint 2007 avec AD RMS
  • La mise en œuvre de la “File Classification Infrastructure” couplé avec RMS
  • La gestion d’identité avec FIM
  • Les workflow FIM au travers d’Outlook
  • Et pour finir, le plat de résistance : Les claims de ADFS V2

 

Le tout est livré avec des scénarios déjà assez intéressants. Bref, que du lourd. Perso, il manque tous les aspect d’équilibrage de charge UAG, mais bon, il faut déjà la mémoire vive pour faire tourner tout le bousin.

 

Petite note : Même si tout est packagé, n’essayez pas de mettre en place ces machines virtuelles sans passer par le script proposé par Microsoft, c’est s’exposé à beaucoup de problèmes, vraiment beaucoup de problèmes.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Hyper-V et les cartes vidéo hautes performances

Un de mes collègues a récemment renouvelé son portable, un nouveau modèle à base de Intel Core i5-700. Tout comme moi, il a besoin d’Hyper-V, il a donc active le rôle et a constaté un superbe BSOD. Sa première réaction a été de suivre les recommandations de Microsoft, mais peine perdue.

 

Après quelques recherches supplémentaires, il est tombé sur la KB961661. Pour plus d’informations, je recommande le billet de Ben Armstrong, Virtualization Program Manager.

 

Conclusion, ce sera Dual boot sur ce portable, je vais donc perdre le dual Screen pour mes sessions.

 

Merci beaucoup pour l’information Emmanuel.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

UAG et la fusion des interfaces réseaux

Mon collègue Alexandre GIRAUD a déjà consacré un billet sur le sujet. Dans celui-ci, il était indiqué comment dépanner cette problématique alors que DirectAccess était déjà installé.

 

La même problématique peut se produire avant même la configuration de DirectAccess tel qu’illustré ci-dessous :

0 

Je suis retombé sur cette problématique alors que je préparais ma session pour les Exatechdays de Lyon, tard dans la nuit. Un grand merci à Alexandre qui m’a rappelé une règle essentielle de l’UAG : Toujours configurer l’interface LAN en premier dans l’ordre des liaisons.

1

 

Une fois ceci opéré, Les interfaces réseaux sont de nouveaux séparées. Il ne reste plus qu’on configurer les interfaces réseaux.

2

 

Note : Ne surtout pas désactiver IPV6, que ce soit sur l’interface Internet ou LAN. On en a besoin pour DirectAccess.

 

Benoîts – Simple and Secure by Design (j’insiste sur le Secure)